امنیت

مرورگرهای Agentic AI آن‌قدر مفید شده‌اند که به مسئله امنیتی تبدیل می‌شوند

مرورگری که می‌تواند بخواند، کلیک کند، وارد حساب شود و کار را جلو ببرد جذاب است؛ اما بدون مجوزهای دقیق، تایید مرحله‌ای و گزارش فعالیت، سطح حمله جدیدی می‌سازد.

سینا فرزان
سینا فرزان

نویسنده امنیت و کسب‌وکار دیجیتال

۱۲ تیر ۱۴۰۵4 دقیقه مطالعه
مرورگرهای Agentic AI آن‌قدر مفید شده‌اند که به مسئله امنیتی تبدیل می‌شوند

مرورگری که دست دارد فرق می‌کند

ایده مرورگرهای جدید AI ساده به نظر می‌رسد: به‌جای اینکه از چت‌بات بپرسی چه کار کنی، اجازه می‌دهی agent صفحه‌ها را باز کند، بخواند، فرم پر کند و چند قدم از کار را خودش جلو ببرد. این واقعاً مفید است. مرورگر از محل انجام کار به کمک‌کار تبدیل می‌شود.

اما مرورگری که دست دارد فقط یک search box هوشمندتر نیست. داخل sessionهای لاگین‌شده می‌نشیند، صفحه‌های خصوصی را می‌بیند، به ایمیل، سند، خرید، پنل ادمین، بانک و تقویم نزدیک می‌شود. وقتی agent می‌تواند عمل کند، سوال امنیتی از «چه جوابی می‌دهد؟» به «چه کاری می‌کند بدون اینکه من بفهمم؟» تغییر می‌کند.

برای بازار ایران هم این موضوع جدی است. خیلی از کسب‌وکارها با پنل‌های وب، درگاه پرداخت، واتساپ، ایمیل و داشبوردهای فروش کار می‌کنند. اگر agent بدون مرز روشن وارد این محیط شود، اشتباه کوچک می‌تواند داده، پول یا اعتبار را درگیر کند.

مقاله‌های مرتبط

دیتاسنترهای AI دیگر فقط داستان cloud نیستند؛ به سیاست محلی تبدیل شده‌اند

Prompt injection به action injection تبدیل می‌شود

Prompt injection در چت آزاردهنده است؛ در مرورگر agentic می‌تواند به action injection تبدیل شود. صفحه مخرب می‌تواند دستور پنهان کند که agent خواسته کاربر را نادیده بگیرد، داده‌ای را کپی کند، روی دکمه اشتباه کلیک کند یا به سایت دیگری برود. کاربر شاید آن متن پنهان را نبیند، اما مدل می‌تواند آن را بخواند.

وب هم محیط تمیزی نیست. تبلیغ، کامنت، review، ticket پشتیبانی و سندهای آپلودشده همه متن دارند و agent ممکن است آن‌ها را context بداند. اگر سیستم نتواند intent کاربر را از محتوای صفحه جدا کند، هر وب‌سایت به منبع احتمالی دستور تبدیل می‌شود.

پس طراحی خوب باید مرز سخت داشته باشد. متن صفحه می‌تواند به agent اطلاعات بدهد، اما نباید بی‌صدا مجوز را گسترش دهد. خواندن صفحه با ارسال ایمیل فرق دارد. خلاصه کردن سبد خرید با پرداخت فرق دارد. باز کردن سند با share کردن آن فرق دارد.

مجوز خوب باید کمی کسل‌کننده باشد

امن‌ترین مرورگر agentic احتمالاً در لحظه‌های حساس کمی کند و کسل‌کننده رفتار می‌کند. قبل از کار برگشت‌ناپذیر مکث می‌کند، می‌گوید قرار است چه کند، مشخص می‌کند کدام حساب یا داده درگیر است و تایید ساده می‌گیرد. این اصطکاک ضعف نیست؛ کمربند ایمنی است.

مجوزها هم باید scope داشته باشند. «از مرورگر من استفاده کن» بیش از حد کلی است. سیستم خوب باید مجوز task-level بدهد: این صفحه را بخوان، این گزینه‌ها را مقایسه کن، پاسخ را draft کن، فرم را پر کن ولی submit نکن، یا فقط بعد از تایید نهایی من submit کن.

لاگ فعالیت هم حیاتی است. اگر agent تنظیمی را عوض کرد، پیامی فرستاد یا فایلی دانلود کرد، کاربر باید ردپای روشن داشته باشد. بدون لاگ، حتی اتوماسیون بی‌ضرر بعد از یک خطا غیرقابل اعتماد می‌شود.

تیم‌ها چطور استفاده کنند

شرکت‌ها نباید از روی ترس همه چیز را ممنوع کنند، چون بهره‌وری واقعی است. شروع خوب از workflowهای کم‌ریسک است: تحقیق، خلاصه‌سازی، مستندات داخلی، draft پاسخ و آماده‌سازی فرم بدون ارسال. پرداخت، پنل production، داده HR و کنسول‌های cloud باید تا بلوغ کنترل‌ها محدود بمانند.

تیم امنیت باید agent را مثل اپلیکیشن تست کند: صفحه مخرب، سند آلوده، لینک گمراه‌کننده، فرم لاگین جعلی، درخواست cross-site و prompt مهندسی اجتماعی. سوال این نیست که مدل مودب است یا نه؛ سوال این است که زیر فشار مرز اختیار را حفظ می‌کند یا نه.

مرورگرهای Agentic AI احتمالاً عادی می‌شوند. ابزارهایی برنده‌اند که قدرت را قابل مشاهده کنند: مجوز شفاف، تایید شفاف، لاگ شفاف و راه برگشت شفاف وقتی agent حرکت اشتباه می‌زند.

خبر خوب، خبری است که کاربر بعد از خواندن آن تصمیم بهتری بگیرد.
NovaNews
مرورگر Agentic AIامنیت AIprompt injectionاتوماسیون مرورگرهویت دیجیتال

درباره نویسنده

سینا فرزان

سینا فرزان

نویسنده امنیت و کسب‌وکار دیجیتال

سینا روی امنیت سایبری، بلاک‌چین، اعتماد دیجیتال و کاربرد فناوری در کسب‌وکارهای کوچک تمرکز دارد.

مقاله‌های مرتبط